fayinq-CSDN博客

原创 sctf_2019_easy_heap

sctf_2019_easy_heap 保护全开，所以又只能修改__malloc_hook,或者说__free_hook了。函数分析： main函数 add函数 Free函数 Edit函数下面的函数中有一个off-by-one的漏洞，所以我们可以很自然的想到overlap 思路首先，程序在运行的时候泄露了一段Mmap的地址，至于给了一个地址，那一定是有用的东西，这里可以思考，是不是可以直接往里面写一段shellcode，然后把__free_hook或者说__malloc_hook改成前面的

2022-04-20 22:46:24 394

原创 houseoforange_hitcon_2016

houseoforange_hitcon_2016 先检查保护保护全开 FSOP:对于_IO_FILE_plus结构体的利用首先，在分析这个题目之前，我们需要知道两个知识点，一个是_IO_FILE_plus,一个是FSOP _IO_FILE_PLUS _IO_FILE_plus是ptmalloc中定义的一种结构体，他决定了很多东西，先在gdb里面查看一眼在此，我们就用本次题目中会使用到的_IO_list_all结构体来作为参考。 _IO_FILE_plus 主要是由两个部分组成，其中一个是_IO

2022-04-07 22:30:55 406

原创 hwb_2019_mergeheap

hwb_2019_mergeheap 又是一道好题，很喜欢，但是也证明了我很菜。全开函数分析： main（）： ADD(): Show(): Del(）： Merge(): 首先看到add函数里面，第一眼看过去没有问题的，如果说超过预输入长度，就直接跳过，但是如果等于输入长度，末尾就不会置0。然后是Show函数，show函数使用的是puts函数，puts函数就可能用来泄露libc或者是main_arena的地址或者是其他的东西 Del函数比较严谨，没有野指针，也没有Double_Free

2022-03-22 19:42:19 395

原创 ciscn_2019_en_3

ciscn_2019_en_3 首先写在前面的话，这道题找到关键点之后不能说十分简单，只能说非常的简单，但是这个题还是卡了我不久时间，最开始想了半天怎么泄露出libc地址，学过的方法全是不行，血压当场up。但是看了wp一眼之后就能秒杀了，当场高血压。函数分析： Func_init()： Func_Execute(): 这其中本来是4个函数，但是show()和edit（)函数没有东西，所以命名就省略了 Func_ADD(): Func_Free(): FREE的地方很明显，他

2022-03-14 23:28:59 609 1

原创 Pwn-gyctf_2020_force

gyctf_2020_force 这个题目是一个新的知识点，house_of_force，第一次看，以前没见过。 HOUSE_OF_FORCE: 使用条件：能够使用溢出等手段，修改top_chunk的大小能够自由分配chunk大小，不会被限制基本原理：在malloc之中，会有一个topchunk的size大小，如果说，能够malloc一个chunk的大小大于topchunk的大小(一般是0x20df1这种个大小)，那么chunk就会去到vmmap映射出来的另一端地址，一般来说会在libc上面一点

2022-03-13 22:53:14 510

原创 Pwn-Ciscn_2019_Final

Ciscn_2019_Final 感觉是一道很好的堆题，使用了很多技巧以及做题思路，包括了uaf，_IO_2_1_stdin,double_free,还有 _IO_2_1_stdin_fileno,这些技巧。 IDA分析： main函数： init函数：沙箱：（少截取一点为无所谓） allocate函数：这里面每次无论add了int还是short int 都会把bool修改成1。 delete函数： del有一段特殊判定，就是bool的判定，因为bool的存在，导致了没有办法连续释放i

2022-03-11 16:29:42 516

原创新人的reverse学习(7) BUUCTF [2019红帽杯]easyRE

题目链接 [2019红帽杯]easyRE 1.用exeinfo查壳，无壳，64位ELF，运行，什么都不返回 2.丢进IDA看看，虽然没有返回，但还是看一下字符串，发现有可疑的字符串，然后去找引用函数

2021-04-28 23:17:25 397

原创新人的reverse学习(6) I春秋百度杯”CTF比赛十一月场_CrackMe01

题目链接 CrackMe01 1.用exeinfo查壳，无壳，32位 2.运行一下，发现是个窗口，而且输入值之后没有报错信息。 3.因为出现了窗口，所以说，我们要知道Windows中与窗口有关的一些函数。 MessageBox () 功能是显示一个消息对话框，一般会传入4个参数，其功能分别为： 1.窗口句柄 2.消息框主体显示的字符串 3.消息框标题上的字符串 4.样式（就是下面有几个按钮，分别是啥东西）一般为你输入一串字符串后用来提示你对不对。但是这个题没有，我就是想把它记下来

2021-04-26 21:46:12 397

原创新人的reverse学习(5) xCTF maze

题目逆向新手，刚开始学些写WP，废话较多，还请各位多多包含 1.用exeinfo查看一下，没有壳的ELF，所以直接IDA看看。 2.Shift+F12看看字符串，有这些个字符串，所以肯定有东西，x交叉引用直接会找到目标函数，看看伪代码。 3.先看第一段关键代码，意思是s1(也就是flag)开头必须是 “nctf{” ,结尾是 “}”,而且长度是24 在这里插入图片描述](https://img-blog.csdnimg.cn/2021042323253089.png) 4.然后又是一个while循环

2021-04-23 23:47:41 224

原创新人的reverse学习(4) xCTF logme_in

题目链接 xCTF logme_in 逆向新手，刚开始学Re，废话较多，还请各位多多包含 1.查壳 64位的ELF文件，进linux看看 2.用IDA直接打开，然后找到主函数 3.这一段函数可以看出最重要的一段就是这里 4.v8=":“AL_RT^L*.?+6/46” v7直接转化为字符串可以得到为’ebmarah’ 但是在IDA中，字符串一般都是小端储存,所以说v7的实际值是"harambe" 5.然后直接上脚本运行 a=':\"AL_RT^L*.?+6/46' v7='ebmarah' v7=v

2021-04-20 23:16:32 225

fayinq的博客